Gli attacchi ai sistemi di automazione industriale sono calati nel corso del primo semestre 2020, sia nell'ICS che negli ambienti aziendali. Le minacce tuttavia sono più mirate e arrivano per lo più via email. È questa in estrema sintesi la fotografia scattata da Kaspersky ICS CERT nel Threat landscape for industrial automation systems relativo alla prima metà di quest'anno.

In linea generale le notizie sono buone, vista la tendenza al ribasso delle percentuali di computer attaccati a livello globale. In dettaglio, nel periodo in esame la percentuale di computer ICS su cui sono state bloccate minacce informatiche è calata di 6,6 punti percentuali.

A livello globale, gli unici settori in cui si segnala un rialzo rispetto alle rilevazioni degli anni precedenti sono Oil&Gas (+1,6 punti percentuali) e building automation (+1,9 punti percentuali). Sul piano geografico, invece, il Paese più bersagliato risulta l'Algeria (58,1%), quello più al sicuro è la Svizzera (12,7%).

Le fonti di minaccia

Sono tre le principali fonti di minaccia nell'ambiente ICS: contenuti Internet, supporti rimovibili ed email continuano ad essere le principali fonti di minacce. La percentuale di computer ICS su cui sono state bloccate attività dannose è pari al 49,8%, quella su cui sono state bloccate le minacce Internet è pari al 14,9%, mentre gli allegati email dannosi sono stati intercettati sul 5,8% dei sistemi ICS.

Complessivamente le soluzioni Kaspersky in ambienti ICS hanno bloccato oltre 19.700 varianti malware da 4.119 famiglie diverse. Sono stati bloccati ransomware sullo 0,63% dei computer ICS, che è un numero molto simile a quello riscontrato nella seconda metà del 2019 (0,61%).

Il guaio è che le minacce stanno diventando sempre più mirate: gli esperti hanno rilevato un incremento delle famiglie di backdoor, spyware, exploit Win32 e malware per la piattaforma .Net.

La situazione europea

L'Europa settentrionale è la regione più sicura, con una percentuale di computer ICS attaccati pari al 10,1%. L'Europa meridionale e orientale sono le aree meno sicure d'Europa. Entrambe rientrano nella nella TOP 5 della classifica per percentuali di computer ICS in cui sono stati bloccati più allegati di posta elettronica dannosi. L'Europa meridionale si è piazzata al secondo posto con il 5,2%, e l'Europa orientale al quinto con il 3,5%. È da annotare che a livello globale le aree più a rischio risultano Asia e Africa. 

Fra gli eventi chiave segnalati troviamo l'attacco al produttore di acciaio BlueScope, gli attacchi mirati contro gli impianti israeliani di approvvigionamento idrico e di trattamento delle acque reflue e alcuni attacchi ransomware ad opera di Ryuk, Ragnar Locker, Sodinokibi e Snake.

Il ruolo della pandemia

Il lockdown e la preoccupazione per la situazione sanitaria globale ha ovviamente giocato un ruolo nell'orchestrazione degli attacchi informatici. Non è un caso che si sia registrato, anche in ambito ICS, un aumento degli attacchi di phishing sia su larga scala che mirati.

L'unica tendenza globale degna di nota tuttavia emerge quando si analizza la percentuale di computer ICS che sono stati soggetti ad attacchi RDP (Remote Desktop Protocol). Fra febbraio e maggio c'è stata un'evidente crescita mensile nella percentuale di computer ICS su cui sono stati rilevati attacchi brute force. Gli esperti reputano che sia dovuta all'apertura di nuove sessioni RDP autorizzate dai servizi IT per consentire il lavoro da remoto durante la fase acuta della pandemia.